NTLM-Diebstahlangriffe haben Microsoft dazu veranlasst, die Vorschaufensterfunktion im Datei-Explorer für aus dem Internet heruntergeladene Dateien zu deaktivieren. Diese Änderung soll verhindern, dass Angreifer Benutzerdaten über manipulierte Dateien stehlen. Das Update stärkt die Sicherheit von Windows 11 und Windows Server, indem es automatische Vorschauen für als unsicher markierte Dateien blockiert.
Microsofts Sicherheitsupdate erklärt
Im Oktober 2025 veröffentlichte Microsoft ein Sicherheitsupdate, das die Vorschau im Datei-Explorer für Dateien mit der Markierung Mark of the Web (MotW) blockiert. Dateien, die aus dem Internet heruntergeladen werden, erhalten diese Markierung automatisch, um Windows darauf hinzuweisen, dass sie möglicherweise nicht vertrauenswürdig sind.
Zuvor erzeugte der Datei-Explorer Miniaturansichten oder Inhaltsvorschauen, sobald ein Benutzer eine Datei auswählte. In bestimmten Fällen löste dies externe Verbindungen aus, die NTLM-Anmeldeinformationen offenlegen konnten. Cyberkriminelle konnten dieses Verhalten ausnutzen, indem sie schädlichen HTML-Code oder externe Bildverweise in Dokumente einbetteten.
Mit dem neuen Update werden diese Vorschauen nicht mehr automatisch für Internetdateien angezeigt, wodurch ein potenzieller Angriffsvektor für NTLM-Diebstahlangriffe geschlossen wird.
So funktionieren NTLM-Diebstahlangriffe
NTLM-Angriffe beruhen darauf, ein System dazu zu bringen, Authentifizierungshashes an einen entfernten Server zu senden. Diese Hashes können anschließend geknackt oder wiederverwendet werden, um unerlaubten Zugriff auf Netzwerke zu erhalten. Schon durch die einfache Vorschau einer kompromittierten Datei konnten Benutzer unbewusst sensible Anmeldeinformationen an Angreifer weitergeben.
Diese Angriffsmethode wurde zunehmend populär, insbesondere durch Phishing-Kampagnen und gemeinsam genutzte Unternehmenslaufwerke. Durch das Deaktivieren der Vorschau für MotW-markierte Dateien verhindert Windows externe Verbindungen, die Anmeldeinformationen preisgeben könnten.
Verwaltung vertrauenswürdiger Dateien
Obwohl dieser neue Schutz automatisch aktiviert ist, ermöglicht Microsoft den Nutzern, die Vorschau für vertrauenswürdige Dateien wiederherzustellen. Dies kann erfolgen, indem man die Datei in den Eigenschaften entsperrt oder ihren Speicherort zu den Vertrauenswürdigen Sites oder zur Lokalen Intranet-Zone in den Internetoptionen hinzufügt.
Diese Flexibilität sorgt für ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit und erlaubt den Anwendern, die Kontrolle zu behalten, ohne sich erneut NTLM-Angriffen auszusetzen.
Verstärkter Schutz für Unternehmen
Für Organisationen reduziert diese Änderung das Risiko von Anmeldeinformationslecks durch unbeabsichtigte Dateivorschauen. Systemadministratoren sollten sicherstellen, dass die neuesten Updates für Windows 11 und Windows Server auf allen Geräten installiert sind. Außerdem sollten sie Mitarbeiterschulungen zu sicherem Dateiumgang und zur Bedeutung integrierter Sicherheitsfunktionen durchführen.
Durch die Behebung einer subtilen, aber bedeutenden Schwachstelle in der Windows-Dateiverarbeitung fügt Microsoft eine weitere Verteidigungsebene gegen NTLM-Diebstahlangriffe hinzu.
Fazit
Microsofts Entscheidung, das Vorschaufenster im Datei-Explorer für Internetdateien zu deaktivieren, richtet sich gezielt gegen NTLM-Diebstahlangriffe. Dieser proaktive Schritt beseitigt eine versteckte Schwachstelle, die zuvor Anmeldeinformationen allein durch die Vorschau einer Datei offenlegen konnte.
Das Update stellt einen wichtigen Fortschritt für die Windows-Sicherheit dar und betont die Notwendigkeit fortlaufender Sensibilisierung für den Schutz von Anmeldeinformationen.
0 Antworten zu „Microsoft stoppt NTLM-Diebstahlangriffe durch Änderung im Vorschaufenster“